AdLoad es una conocida familia de cargadores de paquetes y adware que se ha dirigido a los usuarios de macOS desde 2017, o incluso antes. La amenaza instala una puerta trasera en el sistema para eliminar programas publicitarios y aplicaciones potencialmente no deseadas. (satisfecho), y también recopila información.
Desafortunadamente, Los investigadores de seguridad detectaron recientemente una nueva campaña que distribuye una variante evolucionada de Adload. Los datos muestran que al menos 150 Muestras únicas del adware circulan por la web este año., algunos de los cuales evitan con éxito la protección contra malware en el dispositivo de Apple conocida como XProtect. "Se sabe que algunas de estas muestras también han sido bendecidas por el servicio de notarización de Apple,”Dicen los investigadores de SentinelOne.
Según su informe, este año ha visto otra iteración del adware malicioso que continúa impactando a los usuarios de Mac que dependen únicamente del mecanismo XProtect de Apple para la detección de malware.. "La buena noticia para quienes no tienen protección de seguridad adicional es que la variante anterior que informamos en 2019 ahora es detectado por XProtect, a través de la regla 22d71e9. La mala noticia es que la variante utilizada en esta nueva campaña no es detectada por ninguna de esas reglas ". SentinelOne agrega.
¿Qué es diferente en AdLoad? 2021 variante?
La última iteración implementa un patrón diferente que se basa en una extensión de archivo (ya sea .system o .service). La extensión del archivo depende de la ubicación del archivo de persistencia eliminado y del ejecutable.. En la mayoría de los casos, ambas extensiones se encuentran en el mismo dispositivo infectado, con la condición de que el usuario otorgue privilegios al instalador.
Tenga en cuenta que Adload instalará un agente de persistencia con o sin privilegios.. El agente se coloca en la carpeta Library LaunchAgents del usuario..
"Hasta la fecha, hemos encontrado alrededor 50 patrones de etiquetas únicos, cada uno tiene una versión .service y .system. Basado en nuestro conocimiento previo de AdLoad, esperamos que haya muchos más," los investigadores dicen.
Vale la pena mencionar que los droppers en la última ola de AdLoad comparten el mismo patrón que Bundlore y goteros Shlayer. Todos utilizan una aplicación de jugador falsa montada en un DMG. Muchos de ellos están firmados con una firma válida., y en algunos casos, también han sido notariados. La carga útil final de AdLoad no está firmada en código y la versión actual de XProtect de Apple no la conoce., v2149.
Un par de años atras, Los investigadores de seguridad se encontraron con una nueva variante del llamado Malware Shlayer, que ha estado atacando a los usuarios de MacOS. Shlayer es un malware de múltiples etapas, y el 2019 versión adquirida capacidades de escalada de privilegios. El malware también puede desactivar el controlador de acceso para ejecutar cargas útiles de segunda etapa sin firmar. El software malicioso Shlayer fue descubierto en febrero 2018 por investigadores de Intego.